网络系统安全管理规范

文件名称网络系统安全管理规范密级文件编号版 本 号编写部门编 写 人审 批 人发布时间XXXXXXXXXXXXXXX公司业务平台安全管理制度网络系统安全管理规范XXXXXXX网络运行维护事业部目录一. 网络系统架构安全规范11.1 网络安全的范围11.2 网络结构安全要求1二. 网络系统拓扑结构安全22.1 安全域的设计22.2 安全域划分原则22.3 安全域划分方法32.4 边界整合及控制3三. 网络系统访问控制53.1 通用网络保护要求53.2 网络设备配置要求53.2.1交换机配置要求53.2.2路由器配置要求63.2.3防火墙配置要求6四. 网络系统设备安全74.1 变更管理要求74.2 账号口令管理要求74.3 日志安全要求74.4 访问控制要求74.5 SNMP安全要求84.6 版本安全要求8五. 网络流量监控分析95.1 异常流量检测分析95.2 异常流量控制9六. 附录106.1 交换机安全配置规范106.2 路由器安全配置规范106.3 防火墙安全配置规范10 II主机系统安全管理规范一. 网络系统架构安全规范1.1 网络安全的范围网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。它涉及主机、终端和应用等多个层面的安全防护；网络安全采用的技术手段也多种多样，既有网络层面的入侵检测、远程接入管理、内容过滤、流量检测，也有其它层面的文档安全、桌面管理、病毒防护、访问认证等。 单纯的采用一种或多种安全技术手段，不能从根本上弥补网络架构所造成的缺陷，必须综合考虑网络性能、网络维护、网络优化改造、边界防护等多方面的因素，以网络的整体安全为框架，融合安全技术、安全手段，并充分考虑系统生命周期内的安全要素，才能达到预期的网络安全目标。 1.2 网络结构安全要求网络结构的设计应满足网络整体的安全要求，包括：设备安全、访问控制、边界完整性、入侵防范、恶意代码防范、网络冗余、安全审计等。u 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；u 应保证网络各个部分的带宽满足业务高峰期需要；u 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；u 应绘制与当前运行情况相符的网络拓扑结构图；u 应根据各系统的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；u 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；u 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。二. 网络系统拓扑结构安全2.1 安全域的设计安全域设计应基于业务系统平台的结构，从各种业务功能、管理、控制功能出发，梳理其数据流、刻画构成数据流的各种数据处理活动/行为，分析数据流、数据处理活动的安全需求和安全域设计要求，将系统分解为若干个功能简单、边界清晰且结构化的小的安全域，根据不同安全域承担的业务使命、业务功能以及受到的潜在的威胁和安全风险，进行有针对的分等级的重点保护，构建起多层、主动、立体的安全保障体系，并通过控制、审计等手段，达到持久、有效地保障系统安全的目的。2.2 安全域划分原则安全域划分是网络安全工作的基础。所谓安全域，是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内也可根据实际情况进一步细分安全区域、安全子域。 安全域划分的基本原则包括：u 业务保障原则：安全域划分的根本目标是为了能够更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。u 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。因此，安全域划分并不是粒度越细越好，安全域数量过多过杂反而可能导致安全域的管理过于复杂，实际操作过于困难。 u 立体协防原则：安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。 u 生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。2.3 安全域划分方法根据安全域的设计原理，业务平台可以划分为：核心生产区、内部互联区、互联网接口区、核心交换区.核心生产区：本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备。内部互联接口区：本区域放置的设备和公司内部网络，如IP专网等连接，具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备，如网管采集设备。互联网接口区：本区域和互联网直接连接，主要放置互联网直接访问的设备。如业务系统门户（Portal）。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区：负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。2.4 边界整合及控制安全域明确定义之后，要在实际的信息系统环境中进行划分并实施相应保护措施，首先应先进行安全域的边界整合。常见的安全域边界整合应考虑如下工作： 网络边界整合（网络域） 网络调整、割接（路由、交换调整）； 交换机VLAN划分； 防火墙部署（考虑冗余、DMZ、VPN）； 增加隔离设备u 服务整合（计算域） 服务器整合； 应用接口规范整合u 终端整合（用户域） 不同业务的管理员用户、内部用户整合； 第三方用户（厂商、VPN拨号用户等）整合u 安全措施整合 身份认证整合； 补丁管理、病毒管理、入侵检测、漏洞扫描、日志审计三. 网络系统访问控制网络中的一些信息系统可能因含有敏感和重要数据，需要特别保护，防止其他网络用户的访问。3.1 通用网络保护要求u 只有经授权的网络设备运维操作员才可访问相应网络设备。其他人员需经过信息安全负责人批准，且访问时网络设备运维操作员需在场。u 在没有得到预先批准的情况下，不能公开发布内部网络地址，设置和有关系统和网络信息。u 所有连接到第三方网络或者连接公共网络的内部网络应被保护。u 到其他网络的连接不应危及在另一个网络里处理的信息的安全，反之亦然。u 网络架构任何人都不能随意变动，任何变更都需要经过信息安全负责人批准u 已安装的网络资产的文档清单应被维护并保持最新。一些网络拓扑的细节的描述如，协议，结构，加密等等也应被文档化和保持最新。3.2 网络设备配置要求3.2.1交换机配置要求为了加强安全保护，VLAN建设中建议采用以下功能：u 核心交换机和分布式交换机实施包过滤技术；u 只有授权用户才能访问服务器，用有效的IP地址进行授权。u 限制和控制访问关键服务器应用的流量，例如，只允许Ftp、Telnet等从某个授权地点到某个关键服务器应用的流量。配置访问控制列表，防止地址欺骗。3.2.2路由器配置要求u 共享的网络，特别是那些跨过组织边界的网络，需要实施路由控制来确保计算机连接和信息流只能基于业务的需要，这种控制对于和第三方的网络共享非常重要。u 路由器上应给予确实的源地址和目的地址的检查机制。u 网络地址的转换对分隔网络和防止路由从一个组织网络传播到另一个组织的网络是非常有用的。u 尽可能地采用集中认证方式和一次性口令；u 通过配置协议认证，避免非授权网络设备接入网络。u 防止BGP路由振荡。u 配置动态路由协议（BGP/ MP-BGP /OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。u 骨干路由器要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；u 制定路由策略，禁止发布或接收不安全的路由信息。3.2.3防火墙配置要求在可能的情况下，防火墙需采取以下配置：u 防火墙必须隐藏内部主机及域名，防火墙必须隐藏内部IP结构。u 采用NAT转换DMZ区IP地址和公共网络的地址。u 除了防火墙和应用必须提供的服务之外，避免所有其它网络服务。u 除了所选择的ICMP信息外，防火墙必须阻挡所有其它ICMP信息。u 开启防火墙带有的防止DOS攻击的功能。例如IP地址欺骗，SYN攻击等。四. 网络系统设备安全4.1 变更管理要求u 网络设备的任何变更都必须通过公司变更管理流程正式批准。u 所有与网络设备相连接的网络部分(包括物理线路、设备)的变更等，都需通过公司变更管理流程正式批准。u 在对网络设备进行变更之后，必须经过健康检查。建议透过一些可靠的工具（如扫描器或手工检查），对设备进行完整测试,包括系统状态、业务功能测试、开放端口等。4.2 账号口令管理要求u 避免用户账号共享。除超级用户帐号可分配一至二人管理外，其余为一个运维操作员配置一个帐号，每个运维操作员以各自的账号登录。并删除系统无用帐号。u 设置登录帐号的修改周期小于90天；u 加密口令，避免用户密码泄露u 普通用户帐号密码位长需大于6位。超级用户帐号密码应为数字、大小写字母中任意两者以上的组合，位长大于8位； u 以上策略应通过设备参数配置，或与认证系统联动，满足帐号、口令和授权的强制要求。不具备上述条件的，应通过人工方式控制。4.3 日志安全要求u 网络设备的登陆退出日志、操作维护日志应根据各业务平台的维护要求，保存在本机、或转储到外部存储介质上，不得随意删除。4.4 访问控制要求u 限制访问网络设备的管理终端。u 设置安全访问控制，过滤掉已知蠕虫常用端口。u 关闭未使用的端口，如路由器的AUX口。u 关闭网络设备不必要的服务，比如FTP、TFTP服务等。u 禁用不需要的功能。u 避免远程维护过程中出现用户账户和设备配置信息泄露,：如采用安全的SSH登陆远程维护设备。u 修改BANNER提示，避免缺省BANNER信息泄露系统平台以及其它信息。4.5 SNMP安全要求u 系统应修改SNMP的Community默认通行字，通行字应符合口令强度要求。u 系统应配置为SNMPV2或以上版本。u 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。4.6 版本安全要求u 应根据厂商建议及时对网络设备进行版本升级与补丁更新，版本应已通过厂家验证。u 升级前应当对网络设备配置进行备份,以备升级失败回退原有配置五. 网络流量监控分析异常流量，包括DDoS攻击流量，P2P资源滥用流量，蠕虫病毒流量。这些流量充斥在网络中，占用了网络带宽，网络设备的处理能力，使得正常的业务受到影响。5.1 异常流量检测分析u 异常流量定位应对网络中的流量进行长期和不间断的监控和分析，对异常流量进行及时的告警和定位，准确的发现异常流量进入网络的端口和攻击目标。u 异常流量分析应对异常